Linux如何限制用户的最大进程数

限制用户进程数需通过修改/etc/security/limits.conf（永久）或使用ulimit命令（临时）。前者在用户登录时生效，格式为“domain type item value”，如“testuser soft nproc 100”；后者仅影响当前会话，如“ulimit -u 50”。核心目的是保障系统稳定、资源公平与安全。合理设置需结合系统资源、用户需求，避免过严或过松。用户遇“Resource temporarily unavailable”错误时，说明已达进程上限，可通过ps -u <username> | wc -l查看当前进程数，并检查limits.conf配置是否正确。

限制Linux用户的最大进程数，主要是通过修改系统层面的资源限制配置来实现的。这通常涉及到

/etc/security/limits.conf

ulimit

在Linux中，限制用户最大进程数主要有两种途径：永久性配置和临时性配置。

永久性配置：通过

/etc/security/limits.conf

这是最常用也最推荐的方法，它通过PAM（Pluggable Authentication Modules）模块在用户登录时生效。

1. 理解

   limits.conf

   登录后复制
   文件的结构： 这个文件位于

   /etc/security/limits.conf

   登录后复制
   。它的每一行通常遵循以下格式：

   domain type item value

   登录后复制

   • domain

     登录后复制
     : 可以是用户名、组名（前面加

     @

     登录后复制
     ）、

     *

     登录后复制
     （所有用户）、

     %

     登录后复制
     （所有登录会话）。

   • type

     登录后复制
     :

     • soft

       登录后复制
       : 软限制，用户可以自行提升到硬限制以下。

     • hard

       登录后复制
       : 硬限制，普通用户无法突破的上限。只有root用户可以增加硬限制。

   • item

     登录后复制
     : 要限制的资源类型。对于进程数，我们使用

     nproc

     登录后复制
     。

   • value

     登录后复制
     : 限制的具体数值。

2. 编辑

   limits.conf

   登录后复制
   文件： 使用文本编辑器（如

   vi

   登录后复制
   、

   nano

   登录后复制
   ）打开文件：

   sudo nano /etc/security/limits.conf

   登录后复制

   在文件末尾添加或修改相应的行。例如，要限制用户

   testuser

   登录后复制
   的最大进程数为

   100

   登录后复制
   ：

   testuser        soft    nproc           100
   testuser        hard    nproc           120

   登录后复制

   这里，

   testuser

   登录后复制
   的软限制是100个进程，硬限制是120个。这意味着

   testuser

   登录后复制
   默认最多能启动100个进程，但如果需要，可以在不超出120个的前提下自行调整。

   如果想限制一个组（例如

   developers

   登录后复制
   组）的所有用户：

   @developers     soft    nproc           200
   @developers     hard    nproc           250

   登录后复制

   如果想限制所有非root用户：

   *               soft    nproc           500
   *               hard    nproc           600

   登录后复制

   注意： 这里的

   *

   登录后复制
   会影响所有用户，包括root。通常我们会在

   limits.conf

   登录后复制
   中排除root用户，或者给root一个非常高的限制，因为root用户需要执行很多系统任务。但实际上，root用户的限制通常不受此文件影响，或者说root的限制通常是

   unlimited

   登录后复制
   。

3. 使配置生效： 修改

   limits.conf

   登录后复制
   后，用户需要重新登录才能使新的限制生效。对于已经登录的用户，新的限制不会立即应用。

临时性配置：通过

ulimit

ulimit

1. 查看当前限制：

   ulimit -u

   登录后复制
   或

   ulimit -a

   登录后复制
   (显示所有限制)

   ulimit -Hu

   登录后复制
   (显示硬限制)

   ulimit -Su

   登录后复制
   (显示软限制)

2. 设置限制： 作为普通用户，只能将软限制降低，或者将软限制提高到不超过硬限制的范围。

   ulimit -u 50

   登录后复制
   (将当前会话的软进程数限制设置为50)

   作为root用户，可以设置任何值（包括修改硬限制）：

   sudo ulimit -Hu 100

   登录后复制
   (将当前会话的硬进程数限制设置为100)

   sudo ulimit -Su 80

   登录后复制
   (将当前会话的软进程数限制设置为80)

   这些设置在shell会话关闭后就会失效。如果想让它们对特定用户的每次登录都生效，可以将其添加到用户的

   .bashrc

   登录后复制
   、

   .profile

   登录后复制
   或

   .bash_profile

   登录后复制
   文件中。但这仍然是用户层面的配置，且会被

   limits.conf

   登录后复制
   中的硬限制所约束。

为什么限制用户进程数如此重要？系统稳定性与资源公平性

限制用户进程数不仅仅是系统管理员的“强迫症”，它在维护系统稳定性、确保资源公平分配以及防止潜在的安全风险方面扮演着关键角色。

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

27

查看详情

想象一下，一个用户不小心启动了一个无限循环的脚本，或者一个应用程序出现了内存泄漏，不断地创建子进程。如果没有进程数限制，这个“失控”的进程可能会迅速耗尽系统所有可用的进程ID（PID），导致系统无法创建新的进程，甚至无法响应任何命令。这意味着连

ssh

sudo

从资源公平性的角度看，在一个多用户或多服务共享的系统上，如果没有限制，某个用户或服务可能会无意中（或恶意地）占用过多的CPU、内存和进程资源，从而挤占其他用户或服务的份额，导致整个系统的性能下降，甚至部分服务不可用。通过设置合理的进程数限制，我们可以确保每个用户或服务都能获得一个基本的资源保障，避免“劣币驱逐良币”的情况发生。

此外，限制进程数也是一种基本的安全防护。虽然不能完全阻止所有攻击，但它可以限制某些类型的拒绝服务（DoS）攻击的影响范围。例如，如果一个恶意用户尝试通过大量创建进程来耗尽系统资源，进程数限制可以迅速阻止这种行为，为管理员提供响应和处理的时间。

所以，这不是一个可有可无的配置，而是一个在系统设计和管理中需要深思熟虑的关键环节。它要求我们在安全、稳定和用户体验之间找到一个平衡点。太严格的限制可能会影响正常工作的用户，而太宽松的限制则可能埋下系统崩溃的隐患。

如何判断一个合理的进程数限制值？从系统负载到用户需求

确定一个“合理”的进程数限制值，没有放之四海而皆准的答案，它更像是一门艺术，需要结合具体的系统环境、用户行为模式和应用需求来综合考量。

首先，要了解系统的整体负载和硬件资源。一个拥有128GB内存和64核CPU的服务器，与一个只有4GB内存和4核CPU的虚拟机，其能够承受的并发进程数显然不在一个量级。系统管理员通常会监控

uptime

top

htop

sar

其次，要分析用户的实际需求和工作模式。

• 开发人员： 他们可能需要同时运行IDE、编译器、多个终端、数据库服务、Web服务器、测试套件等。他们的进程数需求通常较高。一个

  soft nproc

  登录后复制
  为200-500，

  hard nproc

  登录后复制
  为300-600可能比较合适。
• 普通SSH用户： 他们可能只是登录执行一些简单的命令、查看日志、编辑文件。他们的进程数需求相对较低。

  soft nproc

  登录后复制
  为50-100，

  hard nproc

  登录后复制
  为80-150可能就足够了。
• 运行特定服务的用户： 如果一个用户账户专门用于运行一个Web服务器（如Apache或Nginx）或数据库服务（如MySQL），那么需要根据服务的并发连接数和子进程模型来估算。例如，一个高并发的Web服务器可能需要几百甚至上千个子进程来处理请求。这种情况下，需要为该用户设置一个非常高的限制，或者更常见的是，让服务以专门的系统用户身份运行，并为其设置特定的限制。

一个经验法则：

• 从宽松开始，逐步收紧。 如果你不确定，可以先设置一个相对宽松的限制（例如，

  soft 256

  登录后复制
  ,

  hard 512

  登录后复制
  ），然后通过监控用户反馈和系统日志来观察是否有用户抱怨“进程数不足”的错误（通常是

  fork: Resource temporarily unavailable

  登录后复制
  ）。
• 利用

  ulimit -u

  登录后复制
  和

  ps -u <username> | wc -l

  登录后复制
  进行测试。 让用户在限制生效后，尝试执行他们日常的工作流程，并观察他们实际使用的进程数量。
• 考虑系统默认值。 大多数Linux发行版都有一个默认的

  /etc/security/limits.d/

  登录后复制
  下的配置，或者在

  limits.conf

  登录后复制
  中有一些注释掉的示例。这些可以作为参考基线。例如，一些系统默认对普通用户设置了1024的软限制和硬限制。

最终，合理的限制值是一个动态平衡。它需要你在系统资源、用户效率和潜在风险之间做出权衡。过度限制会阻碍用户工作，而过于宽松则可能让系统处于危险之中。所以，持续的监控和适时的调整是必不可少的。

限制进程数后，用户遇到“Resource temporarily unavailable”错误怎么办？故障排查与应对

当用户在被限制了进程数之后，尝试执行某些操作时，可能会遇到类似

fork: Resource temporarily unavailable

Cannot fork: retry later

故障排查步骤：

1. 确认错误信息： 首先

以上就是Linux如何限制用户的最大进程数的详细内容，更多请关注php中文网其它相关文章！